Prepared for 情報セキュリティワークショップ in 越後湯沢 2017 http://anisec.jp/yuzawa/?page_id=491Read less
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Prepared for 情報セキュリティワークショップ in 越後湯沢 2017 http://anisec.jp/yuzawa/?page_id=491Read less
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
JVN#24713981: PHP OpenID Library における XML 外部実体参照に関する脆弱性
細工された XRDS データを処理した際に、サーバ上の情報が漏えいする、またはサーバのリソースが過度に消費されるなどの可能性があります。
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは:デジタル・アイデンティティ技術最新動向 臨時便 米OpenID Foundationが8月15日に、OpenID 2.0の一部OpenID Provider(OP)実装において、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のある重大な脆弱性が見つかったことをアナウンスしました。この記事では、その詳細と対策について述べます。 8月15日に公表されたアカウントハイジャックの脆弱性 OpenID Foundation Japan、Evangelistの@novです。 2013年8月15日に米OpenID Foundationからリリースがあったように、OpenID 2.0の一部OpenID Provider(OP)実装に、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のあ
CodeIgniter Login With Google Using OpenID
Basically we need library that communicates with oogle. Then we need to adjust CodeIgniter for it. Then we get unique url that is id for your user, or you can make it secondary value so primary autoincreased int is id. Getting The LibraryI personally like LightOpenID witch is released under MIT license. Then we need to copy openid.php form the arcive and place it in our libraries folder. Also chan
OpenIDとフィッシング - 日向夏特殊応援部隊
wiki.openid.netのOpenID Wiki / OpenID_Phishing_Brainstormから。 フィッシングの流れ ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある ユーザーはそのログインフォームに自分のIdentifier URLを入力 悪意のあるRPはユーザーのOP(IdP)に良く似たFake OPにリダイレクトさせる Fake OPはユーザーにユーザー名とパスワードを求める ユーザーはいつものOPとの違いに気づかずパスワード入れちゃう Fake OPはユーザーのアカウント情報を入手出来る これが基本的なフィッシングの流れと説明されてる。 OpenID Realm Spoofing OpenIDで言うところのrealmはtrust_rootの事。(ソースから読むOpenID (1) - Yet Another H
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Security Advisory - Security - Zend Framework
